Es la tercera vez que BankBot vulnera los sistemas de seguridad y la verificación de aplicaciones de Google Play, en lo que llevamos de año. Se trata de un malware peligroso, ya que su misión es robar contraseñas y datos bancarios.
La primera vez que BankBot apareció en Android saltaron todas las alarmas, se consiguió eliminar. En septiembre apareció de nuevo en escena. Fue erradicado con éxito, pero ha vuelto a Googe Play tras vulnerar todos los protocolos de seguridad .
BankBot ataca tu smartphone y roba datos bancarios
A día de hoy, todos los usuarios de bancos guardamos en nuestros móviles los datos de acceso a la cuenta bancaria online, así como la app propia de la cuenta. Un malware de estas características es capaz de acceder a tu cuenta bancaria y recoger toda la información disponible.
BankBot está perfectamente diseñado para robarte las contraseñas de la cuenta del banco, así como información de pago y movimientos.
¿Cómo lo hace? Se camufla tras una ventana similar a la original de la app del banco. Así cuando se quiera acceder a mirar la cuenta, estaremos ingresando los datos en la pantalla del malware, de esta forma le estamos dando, libremente, acceso a todos nuestros datos
BankBot es capaz de diferenciar qué aplicaciones de nuestro smartphone le interesan más. Busca solo las financieras y similares, ya que está programado para ello y le será más fácil hacer phishing.
El malware está desarrollado para identificar texto
Así es, no solo es capaz de camuflarse tras una ventana similar a la del banco, sino que BankBot también es capaz de descifrar los textos donde se guarde información confidencial relacionada con el banco.
Este malware ha sido descubierto por los investigadores de RiskIQ. El malware en cuestión puede descargarse en Google Play bajo el nombre de "Crypto currencies market prices". Está tan bien mimetizado con el entorno de Google Play que hasta cuenta con el símbolo de verificación de aplicaciones de Google, pero obviamente es falso.
¿Cómo ha conseguido volver el malware?
Como se puede observar en la imagen anterior, BankBot es una app que supuestamente servía para comparar el precio las criptomonedas, que viene a ser lo mismo que los Bitcoin, con otro tipo de monedas. Estaba tan bien conseguida, que es por ello por lo que consiguió burlar los protocolos de seguridad de Google.
Si la aplicación funciona bien y cumple su misión correctamente, no existen las sospechas. Es por ello que los usuarios, en ningún momento, notaron algún movimiento extraño.
Cuando se instalaba la app, salía el típico aviso con los permisos que requiere la app si la quieres instalar. Con esto hay que tener mucho cuidado. Entre los permisos intrusivos que pedía la app con malware, se encontraban:
- Poder leer y enviar mensajes.
- Permitir el acceso a Internet.
- Aceptar la posibilidad de que la app pueda escribir en el almacenamiento externo.
Con esos permisos aceptados, BankBot conseguía mimetizarse con las apps originales y mostrar las pantallas similares. Una vez realizado el cambio de pantallas, iban recopilando los datos que los atacantes querían.
Otro dato importante es que los dueños de esa supuesta app actualizaban los procesos muy a menudo para evitar ser detectados. Gracias a las actualizaciones y mejoras, conseguían ser aun más invisibles.
La app ya no existe en Google Play, porque en cuanto se detectó el malware fue eliminada, pero se sabe que fue instalada unas mil veces.
Son numerosos los ataques que recibe Google al año, por parte de aplicaciones mal intencionadas. No olvidemos el caso de PornHub para distribuir un malware, o el caso del pendrive de IBM.
No es raro leer que se ha colado un malware en Google Play y ha conseguido vulnerar los protocolos de seguridad. BankBot rastreaba las apps relacionadas con cuentas bancarias y robaba tus datos, pero por fin ha sido eliminado.
¿Has notado alguna vez comportamientos extraños en tu móvil tras instalar una aplicación?
- Ver Comentarios